本期作者/牛杰

前言

反調(diào)試技術(shù)，是一種防止逆向的方案。逆向人員如果遇到復(fù)雜的代碼混淆，有時(shí)會(huì)使用調(diào)試器動(dòng)態(tài)分析代碼邏輯簡(jiǎn)化分析流程。例如惡意軟件通常會(huì)被安全研究人員、反病毒廠商和其他安全專業(yè)人員分析和調(diào)試，以了解其行為和功能，并開發(fā)相應(yīng)的安全措施來(lái)保護(hù)系統(tǒng)，這時(shí)，惡意軟件開發(fā)人員就會(huì)使用反調(diào)試技術(shù)阻礙逆向人員的分析，以達(dá)到增加自己惡意代碼的存活時(shí)間。此外，安全人員也需要了解反調(diào)試技術(shù)，當(dāng)遇到反調(diào)試代碼時(shí)，可以使用相對(duì)應(yīng)的反反調(diào)試。

反調(diào)試

1. IsDebuggerPresent

IsDebuggerPresent 用于檢測(cè)當(dāng)前進(jìn)程是否正在被調(diào)試。該函數(shù)屬于 Windows 調(diào)試輔助功能，可以幫助開發(fā)人員在程序運(yùn)行過(guò)程中進(jìn)行調(diào)試。

IsDebuggerPresent 函數(shù)的原型如下：

BOOL IsDebuggerPresent(void);

該函數(shù)返回一個(gè)布爾值，如果當(dāng)前進(jìn)程正在被調(diào)試，則返回 TRUE；否則返回 FALSE。

檢查進(jìn)程環(huán)境塊(PEB)中是否設(shè)置了正在調(diào)試的標(biāo)志。

這實(shí)際上與IsDebuggerPresent()內(nèi)部執(zhí)行的代碼相同。

x86的PEB指針從DWORD FS:[0x30]中獲取，x64在QWORD GS:[0x60]中獲取。

IsDebuggerPresent 函數(shù)只能檢測(cè)當(dāng)前進(jìn)程是否正在被調(diào)試，而不能檢測(cè)其他進(jìn)程的調(diào)試狀態(tài)。此外，安全研究人員和反病毒廠商可以使用各種技術(shù)和工具來(lái)繞過(guò) IsDebuggerPresent 函數(shù)的檢測(cè)，因此它并不是一個(gè)絕對(duì)可靠的方法來(lái)判斷系統(tǒng)是否正在進(jìn)行調(diào)試。

2. CheckRemoteDebuggerPresent

CheckRemoteDebuggerPresent 用于檢測(cè)當(dāng)前進(jìn)程是否被遠(yuǎn)程調(diào)試器附加。該函數(shù)可以檢測(cè)當(dāng)前進(jìn)程是否正在被遠(yuǎn)程調(diào)試器（如遠(yuǎn)程調(diào)試器工具或調(diào)試代理程序）監(jiān)視和調(diào)試，惡意軟件可以使用該函數(shù)來(lái)判斷自身是否處于被遠(yuǎn)程調(diào)試的環(huán)境中，并根據(jù)檢測(cè)結(jié)果采取相應(yīng)的措施，如崩潰、隱藏關(guān)鍵代碼等，以防止被分析和調(diào)試。

CheckRemoteDebuggerPresent 函數(shù)的原型如下：

BOOL CheckRemoteDebuggerPresent(
HANDLE hProcess,
PBOOL pbDebuggerPresent
);

該函數(shù)接受兩個(gè)參數(shù)：

hProcess：要檢查的進(jìn)程的句柄。通常使用 GetCurrentProcess() 函數(shù)獲取當(dāng)前進(jìn)程的句柄。

pbDebuggerPresent：一個(gè)指向 BOOL 類型的變量的指針，用于接收檢測(cè)結(jié)果。如果檢測(cè)到遠(yuǎn)程調(diào)試器附加，則該變量被設(shè)置為 TRUE；否則設(shè)置為 FALSE。

3. 斷點(diǎn)檢測(cè)

斷點(diǎn)是一種調(diào)試技術(shù)，用于在特定的內(nèi)存地址上設(shè)置斷點(diǎn)，以便在程序執(zhí)行到該地址時(shí)觸發(fā)中斷，因此可以通過(guò)判斷斷點(diǎn)的存在與否來(lái)確認(rèn)程序是否被調(diào)試，斷點(diǎn)分為硬件斷點(diǎn)與軟件斷點(diǎn)，檢測(cè)的方式不同。

硬件斷點(diǎn)檢測(cè)

x86架構(gòu)，DR0到DR3寄存器用于設(shè)置硬件斷點(diǎn)的地址，DR4和DR5寄存器在x86架構(gòu)中沒(méi)有特定的用途，DR6寄存器是一個(gè)狀態(tài)寄存器，用于指示硬件斷點(diǎn)的觸發(fā)情況。因此我們需要判斷DR0-DR3的值，如果有值不為0，則處于調(diào)試狀態(tài)，x64架構(gòu)引入了新的調(diào)試寄存器，稱為DR7寄存器，用于控制硬件斷點(diǎn)和其他調(diào)試功能，但是判斷是否被調(diào)試的方式與x86架構(gòu)相同。獲取值的代碼如下：

BOOL HardwareBreakpoints()
{
BOOL bResult = FALSE;
PCONTEXT ctx = PCONTEXT(VirtualAlloc(NULL, sizeof(CONTEXT), MEM_COMMIT, PAGE_READWRITE));

if(ctx) {

SecureZeroMemory(ctx, sizeof(CONTEXT));
ctx->ContextFlags = CONTEXT_DEBUG_REGISTERS;
if(GetThreadContext(GetCurrentThread(), ctx)) {
if(ctx->Dr0 != 0|| ctx->Dr1 != 0|| ctx->Dr2 != 0|| ctx->Dr3 != 0)
bResult = TRUE;
}

VirtualFree(ctx, 0, MEM_RELEASE);
}

returnbResult;
}

軟件斷點(diǎn)檢測(cè)

軟件斷點(diǎn)又稱int3，在IA-32指令集中用操作碼CC (0xCC)表示，因此有時(shí)軟件點(diǎn)的檢測(cè)也稱為"0xCC"檢測(cè)，調(diào)試器在對(duì)應(yīng)設(shè)置斷點(diǎn)的位置上修改該地址的字節(jié)為0xCC。若是關(guān)鍵位置檢測(cè)到該指令，可以判斷進(jìn)程處于調(diào)試狀態(tài)。

4. PEB

在Windows操作系統(tǒng)中，PEB（Process Environment Block）是一個(gè)數(shù)據(jù)結(jié)構(gòu)，它存儲(chǔ)了進(jìn)程的環(huán)境信息和狀態(tài)。每個(gè)運(yùn)行的進(jìn)程都有一個(gè)獨(dú)立的PEB。

1. BeingDebugged

與IsDebuggerPresent()內(nèi)部執(zhí)行的代碼相同，獲取方式如下：

//x86
PPEB pPeb = (PPEB)__readfsdword(0x30);
//x64
PPEB pPeb = (PPEB)__readgsqword(0x60);

2. NtGlobalFlag

NtGlobalFlag 是PEB的一個(gè)字段，通常，當(dāng)進(jìn)程未被調(diào)試時(shí)，NtGlobalFlag字段包含值0x0。調(diào)試進(jìn)程時(shí)，該字段通常包含值0x70。

該字段在x86越x64架構(gòu)中的位置不同。

x86在PEB偏移0x68的位置，x64在PEB便0xBC的位置。

Windows內(nèi)核全局標(biāo)記，在Windows調(diào)試方案中經(jīng)常用到。這個(gè)標(biāo)記定義了一組系統(tǒng)的調(diào)試參數(shù)，包括啟用或禁用調(diào)試技術(shù)的開關(guān)、造成崩潰的錯(cuò)誤代碼和處理方式等等。通過(guò)改變這個(gè)標(biāo)記，可以在運(yùn)行時(shí)設(shè)置和禁用不同的調(diào)試技術(shù)和錯(cuò)誤處理方式，比如調(diào)試器只能訪問(wèn)當(dāng)前進(jìn)程、只允許用戶模式調(diào)試、啟用特定的錯(cuò)誤處理方式等等。但由于NtGlobalFlag標(biāo)記是內(nèi)核全局標(biāo)記，其改變會(huì)影響整個(gè)系統(tǒng)的行為，需要謹(jǐn)慎處理。

5.ProcessHeap

通過(guò)PEB偏移0x18可以找到ProcessHeap，結(jié)構(gòu)體如下：

struct _PEB32
{
UCHAR InheritedAddressSpace; //0x0
UCHAR ReadImageFileExecOptions; //0x1
UCHAR BeingDebugged; //0x2
union
{
UCHAR BitField; //0x3
struct
{
UCHAR ImageUsesLargePages:1; //0x3
UCHAR IsProtectedProcess:1; //0x3
UCHAR IsImageDynamicallyRelocated:1; //0x3
UCHAR SkipPatchingUser32Forwarders:1; //0x3
UCHAR IsPackagedProcess:1; //0x3
UCHAR IsAppContainer:1; //0x3
UCHAR IsProtectedProcessLight:1; //0x3
UCHAR IsLongPathAwareProcess:1; //0x3
};
};
ULONG Mutant; //0x4
ULONG ImageBaseAddress; //0x8
ULONG Ldr; //0xc
ULONG ProcessParameters; //0x10
ULONG SubSystemData; //0x14
ULONG ProcessHeap; //0x18
....
}

在ProcessHeap加上偏移可以找到HeapFlags與ForceFlags，偏移的值根據(jù)系統(tǒng)版本和位數(shù)會(huì)有變化，如下表：

HeapFlags

ForceFlags

如果HeapFlags的值大于2，或ForceFlags的值大于0時(shí)，說(shuō)明被調(diào)試。

6. INT 2D

int 2d反調(diào)試原理很簡(jiǎn)單，正常運(yùn)行時(shí)int 2d觸發(fā)異常，進(jìn)入程序的異常處理函數(shù)。而當(dāng)調(diào)試運(yùn)行時(shí)，OD會(huì)處理該異常，將eip+1繼續(xù)運(yùn)行，因此可以在異常處理函數(shù)中添加一些操作，如果沒(méi)有執(zhí)行這些代碼，說(shuō)明被調(diào)試。這種只能檢測(cè)原版Ollydbg，x64dbg和一些帶有反檢測(cè)插件的調(diào)試器無(wú)效。

7. 進(jìn)程列表

一般情況下,主進(jìn)程在主線程中啟動(dòng)核心代碼

QueryInformationJobObject這個(gè)api可以獲取當(dāng)前程序所有的進(jìn)程列表

不論是主進(jìn)程還是主線程,他們的ImageFileName應(yīng)該是都是源程序的文件名filename.exe

8. NtQueryInformationProcess

NtQueryInformationProcess原型如下：

NTSTATUS NTAPI NtQueryInformationProcess(
HANDLE ProcessHandle,// 進(jìn)程句柄
PROCESSINFOCLASS ProcessInformationClass,// 檢索的進(jìn)程信息類型
PVOID ProcessInformation,// 接收進(jìn)程信息的緩沖區(qū)指針
ULONG ProcessInformationLength,// 緩沖區(qū)指針大小
PULONG ReturnLength // 實(shí)際接收的進(jìn)程信息大小
);

PROCESSINFOCLASS原型如下：

typedefenum_PROCESSINFOCLASS
{
ProcessBasicInformation, 
ProcessQuotaLimits, 
ProcessIoCounters, 
ProcessVmCounters, 
ProcessTimes, 
ProcessBasePriority, 
ProcessRaisePriority,
ProcessDebugPort, //0x7 
ProcessExceptionPort, 
ProcessAccessToken, 
ProcessLdtInformation, 
ProcessLdtSize, 
ProcessDefaultHardErrorMode, 
ProcessIoPortHandlers, 
ProcessPooledUsageAndLimits, 
ProcessWorkingSetWatch,
ProcessUserModeIOPL,
ProcessEnableAlignmentFaultFixup, 
ProcessPriorityClass, 
ProcessWx86Information,
ProcessHandleCount, 
ProcessAffinityMask, 
ProcessPriorityBoost, 
ProcessDeviceMap, 
ProcessSessionInformation, 
ProcessForegroundInformation,
ProcessWow64Information, 
ProcessImageFileName, 
ProcessLUIDDeviceMapsEnabled, 
ProcessBreakOnTermination, 
ProcessDebugObjectHandle, // 0x1E
ProcessDebugFlags, // 0x1F
ProcessHandleTracing, 
ProcessIoPriority, 
ProcessExecuteFlags, 
ProcessResourceManagement, 
ProcessCookie, 
ProcessImageInformation, 
ProcessCycleTime, 
ProcessPagePriority, 
ProcessInstrumentationCallback, 
ProcessThreadStackAllocation, 
ProcessWorkingSetWatchEx,
ProcessImageFileNameWin32, 
ProcessImageFileMapping, 
ProcessAffinityUpdateMode, 
ProcessMemoryAllocationMode, 
ProcessGroupInformation,
ProcessTokenVirtualizationEnabled, 
ProcessConsoleHostProcess, 
ProcessWindowInformation, 
ProcessHandleInformation,
ProcessMitigationPolicy,
ProcessDynamicFunctionTableInformation,
ProcessHandleCheckingMode,
ProcessKeepAliveCount,
ProcessRevokeFileHandles,
ProcessWorkingSetControl,
ProcessHandleTable, 
ProcessCheckStackExtentsMode,
ProcessCommandLineInformation,
ProcessProtectionInformation,
ProcessMemoryExhaustion,
ProcessFaultInformation, 
ProcessTelemetryIdInformation, 
ProcessCommitReleaseInformation, 
ProcessDefaultCpuSetsInformation,
ProcessAllowedCpuSetsInformation,
ProcessSubsystemProcess,
ProcessJobMemoryInformation, 
ProcessInPrivate, 
ProcessRaiseUMExceptionOnInvalidHandleClose, 
ProcessIumChallengeResponse,
ProcessChildProcessInformation, 
ProcessHighGraphicsPriorityInformation,
ProcessSubsystemInformation, 
ProcessEnergyValues, 
ProcessActivityThrottleState, 
ProcessActivityThrottlePolicy,
ProcessWin32kSyscallFilterInformation,
ProcessDisableSystemAllowedCpuSets, 
ProcessWakeInformation,
ProcessEnergyTrackingState,
ProcessManageWritesToExecutableMemory,REDSTONE3
ProcessCaptureTrustletLiveDump,
ProcessTelemetryCoverage,
ProcessEnclaveInformation,
ProcessEnableReadWriteVmLogging, 
ProcessUptimeInformation,
ProcessImageSection,
ProcessDebugAuthInformation, 
ProcessSystemResourceManagement,
ProcessSequenceNumber,
ProcessLoaderDetour,
ProcessSecurityDomainInformation, 
ProcessCombineSecurityDomainsInformation, 
ProcessEnableLogging, 
ProcessLeapSecondInformation,
ProcessFiberShadowStackAllocation,
ProcessFreeFiberShadowStackAllocation,
MaxProcessInfoClass
} PROCESSINFOCLASS;

1. ProcessDbgPort

該方式是CheckRemoteDebuggerPresent的另一種調(diào)用方式。

通過(guò)NTDLL導(dǎo)出NtQueryInformationProcess函數(shù)，PROCESSINFOCLASS設(shè)置為7，該值是進(jìn)程調(diào)試端口（ProcessDebugPort），該值不為0說(shuō)明被調(diào)試。

2. ProcessDebugObjectHandle

通過(guò)NTDLL導(dǎo)出NtQueryInformationProcess函數(shù)，PROCESSINFOCLASS設(shè)置為0x1E，該值是進(jìn)程的調(diào)試對(duì)象句柄（ProcessDebugObjectHandle），當(dāng)該值存在且函數(shù)返回值不為NULL，說(shuō)明進(jìn)程處于調(diào)試狀態(tài)，當(dāng)返回值為NULL，或該值不存在，說(shuō)明處于非調(diào)試狀態(tài)。

3. ProcessDebugFlags

通過(guò)NTDLL導(dǎo)出NtQueryInformationProcess函數(shù)，PROCESSINFOCLASS設(shè)置為0x1f，該值獲取了EPROCESS中的成員NoDebugInherit，該值為0說(shuō)明被調(diào)試。

9. WUDFPlatform.dll模塊

WUDFPlatform.dll模塊中，有三個(gè)導(dǎo)出函數(shù) WudfIsAnyDebuggerPresent，WudfIsKernelDebuggerPresent，WudfIsUserDebuggerPresent，分別為任何調(diào)試器、0環(huán)調(diào)試器和3環(huán)調(diào)試器，該模塊只有x64。

通過(guò)調(diào)用這三個(gè)函數(shù)，如果返回值不為0，則正在被調(diào)試。

代碼如下:

HMODULE h_wudf = LoadLibrary(L"WUDFPlatform.dll");
if(h_wudf == NULL) {
cout << "fail"?<< endl;

????}

????// WudfIsAnyDebuggerPresent
????pWudfIsAnyDebuggerPresent WudfIsAnyDebuggerPresent = (pWudfIsAnyDebuggerPresent)GetProcAddress(h_wudf, "WudfIsAnyDebuggerPresent");
????if?(WudfIsAnyDebuggerPresent == NULL) {
????????cout << "未發(fā)現(xiàn)調(diào)試器"?<< endl;

????}
????if?(WudfIsAnyDebuggerPresent() != 0) {
????????cout << "發(fā)現(xiàn)調(diào)試器"?<< endl;
????}

????// WudfIsKernelDebuggerPresent
????pWudfIsKernelDebuggerPresent WudfIsKernelDebuggerPresent = (pWudfIsKernelDebuggerPresent)GetProcAddress(h_wudf, "WudfIsKernelDebuggerPresent");
????if?(WudfIsKernelDebuggerPresent == NULL) {
????????cout << "未發(fā)現(xiàn)3環(huán)調(diào)試器"" << endl;
????}
????if (WudfIsKernelDebuggerPresent() != 0) {
????????cout << "發(fā)現(xiàn)0環(huán)調(diào)試器" << endl;
????}

????// pWudfIsUserDebuggerPresent
????pWudfIsUserDebuggerPresent WudfIsUserDebuggerPresent = (pWudfIsUserDebuggerPresent)GetProcAddress(h_wudf, "WudfIsUserDebuggerPresent");
????if (WudfIsUserDebuggerPresent == NULL) {
????????cout << "未發(fā)現(xiàn)3環(huán)調(diào)試器" << endl;
????}
????if (WudfIsUserDebuggerPresent() != 0) {
????????cout << "發(fā)現(xiàn)3環(huán)調(diào)試器" << endl;

測(cè)試結(jié)果如下

總結(jié)

本篇介紹了部分反調(diào)試的方法，在自己的代碼中使用反調(diào)試技術(shù)，可以增加逆向人員的分析難度，或是通過(guò)了解這些技術(shù)的原理，在分析惡意代碼時(shí)進(jìn)行反反調(diào)試，在后續(xù)的文章中，將會(huì)介紹更多的反調(diào)試方法。